Guidelines des EDSA zur Rechtsgrundlage “Vertragserfüllung”
Von Timo Schutt 25. Oktober 2019Papier des EDSA veröffentlicht
Mit Datum vom 08.10.2019 hat der Europäische Datenschutzausschuss (EDSA) oder englisch: edpb = (European Data Protection Board) eine Version 2.0 seiner Guidelines zur Rechtsgrundlage des Art. 6 Absatz 1 Buchstabe b) DSGVO, also die Rechtsgrundlage “Vertragserfüllung” veröffentlicht. Konkret geht es dabei um Guidelines, die sich mit der Erbringung von Online-Diensten für die betroffenen Personen befassen.
Das Papier können Sie hier als PDF abrufen. Es liegt bislang nur in englischer Sprache vor.
Papier schränkt Rechtsgrundlage der Vertragserfüllung ein
Das Papier schränkt die Möglichkeiten in Sachen Rechtsgrundlagen weiter ein. Ähnlich hatte sich schon vor kurzem die DSK (Datenschutzkonferenz) geäußert.
Der EDSA sagt, die Rechtsgrundlage des Art. 6 Absatz 1 Buchstabe b) DSGVO…
“…. ist streng auszulegen und umfasst nicht Situationen, in denen die Verarbeitung nicht wirklich für die Erfüllung eines Vertrags erforderlich ist, sondern einseitig von dem für die Verarbeitung Verantwortlichen der betroffenen Person auferlegt wird. Auch die Tatsache, dass eine bestimmte Verarbeitung durch einen Vertrag abgedeckt ist, bedeutet nicht automatisch, dass die Verarbeitung für ihre Ausführung notwendig ist. Auch wenn diese Verarbeitungsaktivitäten im Kleingedruckten des Vertrages ausdrücklich erwähnt werden, macht sie diese Tatsache allein nicht “notwendig” für die Erfüllung des Vertrages.”
Damit sollen also “Schlupflöcher” gestopft werden, die sich aus dem Wortlaut der Norm ergeben. Demnach ist nämlich eine Datenverarbeitung rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:
“die Verarbeitung [ist] für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;”
Die Erforderlichkeit kann sich demnach subjektiv oder objektiv ergeben. Viele Berater, ich schließe mich hier ausdrücklich ein, waren der Meinung, dass durch geschickte (man könnte auch sagen: durch kreative) Vertragsgestaltung Umfang und Reichweite der dadurch zulässigen Datenverarbeitungen verändert (sprich: erweitert) werden könnten.
“Erforderlichkeit” der Datenverarbeitung ist objektiv zu bestimmen
Der EDSA sagt jetzt ganz klar: Die Erforderlichkeit ist objektiv zu bestimmen. Und zwar anhand des eigentlichen Vertragszwecks. Der ergibt sich aus der Natur des Vertrags. Also aus Sinn und Zweck. Dass eine Datenverarbeitung sich aus dem Vertrag ergibt oder aufgrund des Vertrages möglich ist, führt also nicht automatisch dazu, dass diese Datenverarbeitung auch erforderlich ist.
Um beurteilen zu können, ob Art. 6 Absatz 1 Buchstabe b) DSGVO anwendbar ist, sollen laut EDSA folgende Fragen als Orientierungshilfe dienen:
- Was ist die Art der Dienstleistung für die betroffene Person? Was sind die Unterscheidungsmerkmale?
- Was ist die genaue Begründung des Vertrags (d. h. seine Substanz und sein grundlegendes Objekt)?
- Was sind die wesentlichen Elemente des Vertrags?
- Was sind die gegenseitigen Perspektiven und Erwartungen der Vertragsparteien? Wie wird die Dienstleistung bei der betroffenen Person beworben? Würde ein gewöhnlicher Nutzer dieser Dienstleistung vernünftigerweise erwarten, dass die vorgesehene Verarbeitung stattfindet, um den Vertrag, an dem er beteiligt ist, zu erfüllen?
Folgendes Beispiel macht der EDSA in seinem Papier:
“Ein Kunde kauft Artikel von einem Online-Händler. Die betroffene Person muss per Kreditkarte bezahlen und die Produkte an ihre Wohnadresse liefern. Um den Vertrag zu erfüllen, muss der Einzelhändler die Kreditkarteninformationen und die Rechnungsadresse der betroffenen Person für Zahlungszwecke und die Lieferadresse für die Lieferung verarbeiten. Somit ist Artikel 6 Absatz 1 Buchstabe b) als Rechtsgrundlage für diese Verarbeitungstätigkeiten anwendbar.
Hat sich der Kunde jedoch für den Versand an einen Abholort entschieden, ist die Verarbeitung der Heimatadresse des Betroffenen für die Erfüllung des Kaufvertrages nicht mehr erforderlich. Jede Verarbeitung der Adresse der betroffenen Person in diesem Zusammenhang erfordert eine andere Rechtsgrundlage als Artikel 6 Absatz 1 Buchstabe b).”
Wenn die Verarbeitung also nicht als “für die Erfüllung eines Vertrages erforderlich” angesehen werde, wenn also eine angeforderte Dienstleistung erbracht werden könne, ohne dass die spezifische Verarbeitung stattfindet, könne stattdessen eine andere Rechtsgrundlage anwendbar sein, sofern die entsprechenden Bedingungen erfüllt sind. Insbesondere könne es in einigen Fällen zweckmäßiger sein, sich auf eine freiwillig erteilte Zustimmung nach Artikel 6 Absatz 1 Buchstabe a) zu stützen. In anderen Fällen könne Artikel 6 Absatz 1 Buchstabe f) eine angemessenere Rechtsgrundlage für die Verarbeitung bieten. Die Rechtsgrundlage des Artikel 6 Absatz 1 Buchstabe b) scheide aber in solchen Fällen eben aus.
Mein Fazit
Das Papier führt dazu, dass die Frage des Vorliegens der Rechtsgrundlage des Artikel 6 Absatz 1 Buchstabe b) DSGVO nochmals in allen Einzelfällen zu prüfen ist. Gibt also nur der Vertrag eine Datenverarbeitung her oder ist diese Datenverarbeitung aus der Natur und Sinn und Zweck des Vertrags heraus (auch) erforderlich? Das ist die zu stellende Frage. Und in einigen Fällen wird man wohl richtigerweise zu dem Ergebnis kommen, dass eine (zwar gewünschte oder nützliche) Datenverarbeitung objektiv einfach nicht erforderlich ist. Dann muss das Vorliegen anderer Rechtsgrundlagen geprüft werden, insbesondere also die Frage, ob ein berechtigtes Interesse bejaht werden kann oder, ob eine Einwilligung einzuholen ist (natürlich mit dem Risiko, dass diese jederzeit widerrufen werden kann).
Sprechen Sie mich jederzeit darauf an. Ich prüfe für Sie das Vorliegen von Rechtsgrundlagen und unterstütze Sie dabei die richtigen Entscheidungen zu treffen und DSGVO-konform zus ein.
Timo Schutt
Datenschutzberater
Fachanwalt für IT-Recht